KRI -„nie taki diabeł straszny jak go malują” 

KRIKRI-Krajowe Ramy Interoperacyjności, nazwa sama w sobie brzmi wręcz „magicznie” i większości osób nic nie mówi. Jest Rozporządzenie (link do rozporządzenia) jest więc i obowiązek dla jednostek publicznych wypełnienia go. Jak to jednak rozumieć? Rozporządzenie określa minimalne wymagania dla rejestrów publicznych i przepisy dot. wymiany informacji w postaci elektronicznej – czyli co?   KRI ma za zadanie doprowadzenia do osiągnięcia przez sektor publiczny interoperacyjności, czyli ujednolicenia, wymienności i zgodności podmiotów realizujących zadania publiczne. Osiągnąć to ma w ramach obowiązujących procedur, norm, standardów, procesów czy świadczonych usług… Całość brzmi dobrze, bo przecież każdy z nas chciałby, aby we wszystkich podmiotach publicznych wszystko odbywało się na podobnych zasadach. Dzięki czemu łatwiej byłoby się odnaleźć w gąszczu zawiłych procedur publicznych. Jednakże, KRI odnosi się bardziej do dostosowania systemów teleinformatycznych używanych przez podmioty realizujące zadania publiczne. Umożliwiając wymianę danych z innymi systemami teleinformatycznymi na tym samym poziomie. Co ważne systemy te jak i ich oprogramowanie muszą zapewniać pełną ochronę danych i bezpieczeństwo informacji. Wiadomo, że aby zapewnić odpowiedni poziom bezpieczeństwa nie wystarczy tylko stała aktualizacja oprogramowania czy ludzka ochrona przed błędami. Instytucje te powinny posiadać narzędzia ułatwiające wykrywanie prób nieautoryzowanego dostępu do systemów operacyjnych, usług sieciowych czy plików/aplikacji. KRI wskazuje jak bardzo ważne jest minimalizowanie ryzyka utraty informacji w wyniku awarii i zapewnienie bezpieczeństwa plików systemowych czy szybkie zgłaszanie incydentów dot. naruszenia bezpieczeństwa informacji. Dostosowanie się do przepisów wynikających z tego rozporządzenia powinno zacząć się od przeprowadzenia audytu. Obowiązek przeprowadzania audytu wynika wprost z samego rozporządzenia.
Kontrole NIK-u
W 2018 roku Najwyższa Izba Kontroli przeprowadziła kontrolę w jednostkach publicznych związanych  z rozporządzeniem KRI. W wyniku której stwierdziła, że informacje przechowywane i przetwarzane  w systemach teleinformatycznych urzędów czy gmin są słabo chronione. Słabo, oznacza niedostatecznie, czyli ryzykownie.  Pamiętajmy, że wśród tych informacji są dane obywateli naszego kraju  i nie tylko. Słabo oznacza zagrożenie nie tylko ze strony organów nadzorczych, które mogą nałożyć kary. Również ze strony mieszkańców, którzy poczują się zagrożeni i nie będą darzyć zaufaniem obecnych włodarzy. Raport sporządzony przez NIK wskazuje brak zmiany podejścia do bezpieczeństwa informacji i technologicznego rozwoju zabezpieczeń na przełomie ostatnich lat w ramach funkcjonowania jednostek publicznych. Dodatkowo wskazując brak właściwego podejścia do ich ochrony przez pracowników. Nie wykluczając jednak przy tym brak stosownej wiedzy wśród pracowników z tej materii. 
Nie taki „diabeł straszny jak go malują”
KRI ma wiele wymagań do spełnienia, ale wspomniany już wcześniej audyt pozwoli na odnalezienie słabych stron naszych systemów. Odnalezienie ich to połowa sukcesu, bo wiemy już, gdzie jest źle. Drugą połową jest konieczność ich załatania, ale i tu droga nie jest trudna. Jeżeli dana instytucja nie posiada fachowca w tej dziedzinie, to na rynku jest dostępnych wielu przedstawicieli w zakresie bezpieczeństwa. Którzy poprzez wdrożenie systemu bezpieczeństwa informacji wprowadzą instytucję na najwyższy poziom. Gwarantując nie tylko spełnienie wymagań KRI, ale również zwiększenie zaufania do instytucji i osób nią zarządzających. Najprostsza droga do tego sukcesu jest już gotowa od lat, dzięki normie ISO 27001 mówiącej o bezpieczeństwie informacji, a tym jest właśnie w najprostszych słowach ujmując Rozporządzenie KRI.
Plusy audytu KRI
Podmioty objęte KRI dzięki audytowi otrzymują rzetelną informację zwrotną o kondycji bezpieczeństwa ich systemów informatycznych i dowiadują się, czy spełniają wszystkie wymogi rozporządzenia. Dzięki szczegółowej weryfikacji stanu zabezpieczeń systemów IT podmioty mogą następnie skutecznie dostosowywać się do treści rozporządzenia i poprawić ewentualne błędy. Zapewnienie bezpieczeństwa informacji na najwyższym poziomie w urzędach staje się jednym z najważniejszych wyzwań, które stoją przed wszelkiego rodzaju administracją publiczną. Niewłaściwe podejście do ochrony danych oraz bezpieczeństwa przetwarzanych informacji może doprowadzić do naruszenia. Wycieku informacji, utraty lub nawet sfałszowania danych posiadanych przez jednostkę. 
Podsumowując
Brak systemowego podejścia do zapewnienia bezpieczeństwa informacji uwzględniającego nie tylko ochronę danych osobowych, ale również całość informacji znajdujących się w strukturach jednostek publicznych powoduje wiele zagrożeń dla wszystkich obywateli, instytucji jak i całego kraju. KRI właśnie ma być pierwszą z Rządowych odpowiedzi na poprawę tego stanu rzeczy. Spełnienia oczekiwań obywateli nie tylko w zakresie usprawnienia funkcjonowania e-administracji. Lecz także zapewnienia, że wszelkie dane posiadane przez administrację publiczną są właściwie zabezpieczone przed dostępem osób nieupoważnionych. Kolejnym etapem zwiększającym bezpieczeństwo są normy wskazane w ustawie o Krajowym Systemie Cyberbezpieczeństwa. Zachęcamy do zapoznania się „Cyberzagrożenia dla ochrony danych”, który to artykuł częściowo opisuje cybernetyczne zagrożenia oraz sposoby obrony przed nimi.  Zapraszamy do zapoznania się z naszymi usługami, które świadczymy w zakresie KRI (usługi KRI).    

2 komentarze do “KRI -„nie taki diabeł straszny jak go malują” ”

Dodaj komentarz

BCO Integrity - Logo w stopce